scanner passivo · headers · TLS · cookies · LGPD
O que o seu SaaS entrega
antes mesmo do login.
O Fracta lê os headers de segurança, o TLS, as flags de cookie e sinais de LGPD do seu site — só com requisições passivas. Nota A–F na hora, detecção determinística (sem palpite de IA), e dizemos quando não conseguimos verificar.
Apenas GETs passivos. Não escaneamos endereços internos/privados.
12 SaaS auditados na nossa frota · open-source · sem cadastro · grátis
amostra · relatório passivo
api.exemplo.com.br
- ✗strict-transport-securityausente · high
- ✓x-content-type-optionsnosniff
- ✓x-frame-optionsSAMEORIGIN
- ✗set-cookie · Secure/HttpOnlysem flags · low
- ✗x-powered-byExpress exposto · low
- ○política de privacidade (LGPD-lite)não verificado
a última linha não foi verificada — e por isso não conta como aprovada.
como funciona
Toda URL passa por um SSRF guard que valida o IP real no momento da conexão (bloqueia interno/privado/metadata, inclusive via redirect). Só então rodam os checks passivos.
medimos
- Security headers — HSTS, X-Content-Type-Options, X-Frame-Options, Referrer/Permissions-Policy, CORS.
- TLS / HTTPS — o alvo força HTTPS e responde com TLS válido.
- Flags de cookie — Secure, HttpOnly, SameSite nos
Set-Cookie. - LGPD-lite (beta) — sinais de política de privacidade. Heurístico e rotulado.
não medimos
- Nada de ataque ativo — sem IDOR, SQLi, brute-force. Rodar isso contra uma URL de terceiro é invadir, não auditar.
- Sem login — só a superfície pública. O que está atrás de auth é CLI, com prova de propriedade.
- Sem “100% seguro” — passivo vê uma fatia. Um A aqui é um bom sinal, não um certificado.
- Ausência de achado ≠ seguro — se um check não roda, ele aparece como não verificado.
por que confiar
determinístico
A mesma engine do CLI open-source. Regras, não alucinação de IA — o mesmo achado dá sempre o mesmo resultado.
segurança × LGPD
Construído por um advogado que opera uma frota de legaltech. Segurança técnica cruzada com LGPD de verdade.
honesto por design
Um check que não roda nunca vira verde. Alvo fora do ar fica inconclusivo — sem nota, sem fingimento.